Domänenweite Schemaaktualisierungen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server

Sie können die folgenden Änderungen überprüfen, um die Schemaupdates zu verstehen und vorzubereiten, die von adprep /domainprep in Windows werden.

Ab Windows Server 2012 werden Adprep-Befehle automatisch bei Bedarf während der AD DS ausgeführt. Sie können auch separat vor der Installation AD DS werden. Weitere Informationen finden Sie unter Ausführen von Adprep.exe.

Weitere Informationen zum Interpretieren der ACE-Zeichenfolgen (Access Control Entry) finden Sie unter ACE-Zeichenfolgen. Weitere Informationen zum Interpretieren der SICHERHEITS-ID-Zeichenfolgen (SID) finden Sie unter SID-Zeichenfolgen.

Windows Server (halbjährlicher Kanal): Domänenweite Updates

Nachdem die von domainprep in Windows Server 2016 (Vorgang 89) ausgeführten Vorgänge abgeschlossen wurden, wird das Revisionattribut für das Objekt CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain auf 16 festgelegt.

Betriebsnummer und GUID BESCHREIBUNG Berechtigungen
Vorgang 89: {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} Löschen Sie den ACE, der Enterprise-Schlüsseladministratoren Vollsteuerung gewährt, und fügen Sie einen ACE hinzu, der Enterprise Key Admins Full Control nur über das msdsKeyCredentialLink-Attribut gewährt. Löschen (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Enterprise Schlüsseladministratoren)

Hinzufügen (OA; CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;; Enterprise Schlüsseladministratoren)

Windows Server 2016: Domänenweite Updates

Nachdem die von domainprep in Windows Server 2016 (Vorgänge 82-88) ausgeführten Vorgänge abgeschlossen wurden, wird das Revisionsattribut für das Objekt CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain auf 15 festgelegt.

Betriebsnummer und GUID Beschreibung Attribute Berechtigungen
Vorgang 82: {83C53DA7-427E-47A4-A07A-A324598B88F7} Erstellen eines CN=Keys-Containers im Stammverzeichnis der Domäne - objectClass: container
- description: Standardcontainer für Schlüssel-Anmeldeinformationsobjekte
- ShowInAdvancedViewOnly: TRUE
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; EA)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;D A)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; SY)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;D D)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; ED)
Vorgang 83: {C81FC9CC-0130-4FD1-B272-634D74818133} Fügen Sie Vollsteuerung hinzu, um Aces zum Container "CN=Keys" für "domain\Key Admins" und "rootdomain\Enterprise Key Admins" hinzuzufügen. (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Schlüsseladministratoren)
(A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Enterprise Schlüsseladministratoren)
Vorgang 84: {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} Ändern Sie das OtherWellKnownObjects-Attribut so, dass es auf den Container CN=Keys verweisen kann. - otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws
Vorgang 85: {e6d5fd00-385d-4e65-b02d-9da3493ed850} Ändern Sie den Domänen-NC so, dass "domain\Key Admins" und "rootdomain\Enterprise Key Admins" das msds-KeyCredentialLink-Attribut ändern können. (OA; CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;; Schlüsseladministratoren)
(OA; CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;; Enterprise Schlüsseladministratoren in der Stammdomäne, aber in Nicht-Stammdomänen haben zu einem domänen relativen ACE mit einer nicht auflösbaren SID von -527 führen.
Vorgang 86: {3a6b3fbf-3168-4312-a10d-dd5b3393952d} Erteilen Sie dem Besitzer und sich selbst des Erstellers das Car-Car für DS-Validated-Write-Computer. (OA; CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
(OA; CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
Vorgang 87: {7F950403-0AB3-47F9-9730-5D7B0269F9BD} Löschen Sie den ACE, der der falschen domänen relativen gruppe Enterprise Key Admins Vollsteuerung gewährt, und fügen Sie einen ACE hinzu, der der Gruppe Enterprise Schlüsseladministratoren Vollsteuerung gewährt. Löschen (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Enterprise Schlüsseladministratoren)

Hinzufügen (A; CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;; Enterprise Schlüsseladministratoren)
Vorgang 88: {434bb40d-dbc9-4fe7-81d4-d57229f7b080} Fügen Sie "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" für das DOMÄNEN-NC-Objekt hinzu, und legen Sie den Standardwert auf FALSE fest.

Die Enterprise-Schlüsseladministratoren und -Schlüsseladministratorengruppen werden erst erstellt, nachdem ein Windows Server 2016-Domänencontroller promotet wurde und die PDC-Rolle Emulator FSMO übernimmt.

Windows Server 2012 R2: Domänenweite Updates

Obwohl in Windows Server 2012 R2 keine Vorgänge von domainprep ausgeführt werden, wird nach Abschluss des Befehls das Revisionattribut für das Objekt CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain auf 10 festgelegt.

Windows Server 2012: Domänenweite Updates

Nachdem die von domainprep in Windows Server 2012 (Vorgänge 78, 79, 80 und 81) ausgeführten Vorgänge abgeschlossen wurden, wird das Revisionsattribut für das Objekt CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain auf 9 festgelegt.

Betriebsnummer und GUID Beschreibung Attribute Berechtigungen
Vorgang 78: {c3c927a6-cc1d-47c0-966b-be8f9b63d991} Erstellen Sie ein neues Objekt CN=TPM-Geräte in der Domänenpartition. Objektklasse: msTPM-InformationObjectsContainer
Vorgang 79: {54afcfb9-637a-4251-9f47-4d50e7021211} Es wurde ein Zugriffssteuerungseintrag für den TPM-Dienst erstellt. (OA; CIIO; WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
Vorgang 80: {f4728883-84dd-483c-9897-274f2ebcf11e} Gewähren des erweiterten Rechts "Dc klonen" für die Gruppe "Klonbare Domänencontroller " (OA;; CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;; Domäne SID-522)
Vorgang 81: {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} Erteilen Sie ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity für Principal Self für alle Objekte. (OA; CIOI; RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;; PS)